我有一个VPN,使用主机configuration主机设置。 他们是 :
AIX使用IKE(ipsec)
Redhat使用libreswan(ipsec)
隧道到了,我可以从两端查询。 到现在为止还挺好。 不幸的是,我不能从任何一方ping,坪不返回任何东西。 但是,在任何一端使用tcpdump时,我都会看到ESP数据包通过。
我的ipsec.conf使用并导入到aix ok是:
conn%默认 keyingtries = 1 types=隧道 AUTH =尤 authby =秘密 PFS =无 rekeymargin = 900秒 rekeyfuzz = 90% 汽车=添加 conn aix 左= 170.22.7.44 右= 170.22.11.159
那么这是一个路由或IPSec规则的问题?
当隧道被激活时,在aix端应用默认的ipsec规则,这些看起来OK。 在Redhat方面,在iptables中没有规则,只是有默认的规则,所以我已经停止了itables。 我应该这样做,我需要在iptables的规则工作,如果是的话,什么是偶然的。
我的路由是这样的(ips掩码):redhat:170.22.7.44 aix:170.22.11.159
内核IP路由表 目标网关Genmask标志MSS窗口irtt Iface 170.22.7.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 eth0。169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 170.22.7.1 0.0.0.0 UG 0 0 0 eth0
AIX
默认值170.22.11.1 UG 2 25324037 en0 - - 127/8 127.0.0.1 U 0 562 lo0 - - 170.22.11.0 170.22.11.159 UHSb 0 0 en0 - - => 170.22.11 / 24 170.22.11.159 U 3 642941 en0 - - 170.22.11.159 127.0.0.1 UGHS 0 102 lo0 - - 170.22.11.255 170.22.11.159 UHSb 0 1 en0 -
所以经过多次search,我在Linux端遗漏了这个规则,一旦插入VPN看所有的goos。
ACCEPT esp - 170.22.7.44 170.22.11.0
我认为你有IPSEC的问题:你没有在你的configuration中定义左/右子网,所以IPSEC不知道它必须encryption哪些数据包并发送到隧道。
在StrongSWAN中,关键字是rightsubnet / leftsubnet。